基于Wireshark的网络数据包内容解析.pdf
《基于Wireshark的网络数据包内容解析.pdf》由会员分享,可在线阅读,更多相关《基于Wireshark的网络数据包内容解析.pdf(18页珍藏版)》请在咨信网上搜索。
1、基于 Wireshark 的网络数据包内容解析 摘 要 本课程设计是利用抓包软件 Wireshark,对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的。设计过程中对各种包进行抓取分析,各种包之间比较,了解每种包的传输过程与结构,通过本次课程设计,能很好的运用 Wireshark对数据包分析和 Wireshark各种运用,达到课程设计的目的。关键词 IP协议;TCP 协议;UDP 协议;ARP 协议;Wireshark;计算机网络;1 引 言 本课程设计主要是设计一个基于Wireshark 的网络数据包内容解
2、析,抓取数据包,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的 1.1 课程设计目的 Wireshark 是一个网络封包分析软件。可以对网络中各种网络数据包进行抓取,并尽可能显示出最为详细的网络封包资料,计算机网络课程设计是在学习了计算机网络相关理论后,进行综合训练课程,其目的是:1.了解并会初步使用 Wireshark,能在所用电脑上进行抓包;2.了解 IP数据包格式,能应用该软件分析数据包格式。1.2 课程设计要求 (1)按要求编写课程设计报告书,能正确阐述设计结果。(2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。(3)学会文献检索的基
3、本方法和综合运用文献的能力。(4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。1.3 课程设计背景 一、Wireshark(前称 Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 电工技师使用电表来量测电流、电压、电阻 的工作-只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Wireshark 的出现改变了这一切。在GNUGPL 通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制
4、化的权利。Wireshark 是目前全世界最广泛的网络封包分析软件之一。二、网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道
5、网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础,首先就来详细地介绍一下网络嗅探技术,接下来就其在网络监控系统的运用进行阐述。2 网络协议基础知识 2.1 IP 协议 (1)IP 协议介绍 IP 是英文 Internet Protocol(网络互连的协议)的缩写,中文简称为“网协”,也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因
6、特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守 IP 协议就可以与因特网互连互通。(2)IP 协议的网络互连实现 各个厂家生产的网络系统和设备,如以太网、分组交换网等,它们相互之间不能互通,不能互通的主要原因是因为它们所传送数据的基本单元(技术上称之为“帧”)的格式不同。IP 协议实际上是一套由软件程序组成的协议软件,它把各种不同“帧”统一转换成“IP 数据包”格式,这种转换是因特网的一个最重要的特点,使所有各种计算机都能在因特网上实现互通,即具有“开放性”的特点。(3)IP 数据报 TCP/IP协议定义了一个在因特网上传输的包,称为 IP 数据报(IP Datagram)
7、。这是一个与硬件无关的虚拟包,由首部和数据两部分组成,其格式如图2.1 所示:图 2-1 IP 数据报一般格式 IP 数据报的详细格式如图 2.2 所示:0 3 7 15 31 版本 首部长度 服务类型 总长度 标识 标志 片偏移 生存时间 协议 头校验和 源 IP地址 目的 IP地址 选项 填充域 数据部分 图 2-2 IP 数据报的详细格式 IP 数据报固定部分各字段含义:(1)版本 占 4 位,指 IP 协议的版本。通信双方使用的 IP 协议版本必须一致。目前广泛使用的 IP 协议版本号为 4(即 IPv4)。关于 IPv6,目前还处于草案阶段。(2)首部长度 占 4 位,可表示的最大十
8、进制数值是 15。请注意,这个字段所数据报的数据区 数据报首部 表示数的单位是 32 位字长(1 个 32 位字长是 4 字节),因此,当 IP 的首部长度为1111 时(即十进制的 15),首部长度就达到 60 字节。当 IP 分组的首部长度不是 4字节的整数倍时,必须利用最后的填充字段加以填充。因此数据部分永远在 4 字节的整数倍开始,这样在实现 IP 协议时较为方便。首部长度限制为 60 字节的缺点是有时可能不够用。但这样做是希望用户尽量减少开销。最常用的首部长度就是 20 字节(即首部长度为 0101),这时不使用任何选项。(3)区分服务 占 8 位,用来获得更好的服务。这个字段在旧标
9、准中叫做服务类型,但实际上一直没有被使用过。1998 年 IETF 把这个字段改名为区分服务DS(Differentiated Services)。只有在使用区分服务时,这个字段才起作用。(4)总长度总长度指首部和数据之和的长度,单位为字节。总长度字段为 16位,因此数据报的最大长度为 216-1=65535 字节。在 IP 层下面的每一种数据链路层都有自己的帧格式,其中包括帧格式中的数据字段的最大长度,这称为最大传送单元 MTU(Maximum Transfer Unit)。当一个数据报封装成链路层的帧时,此数据报的总长度(即首部加上数据部分)一定不能超过下面的数据链路层的 MTU 值。(5
10、)标识(identification)占 16 位。IP 软件在存储器中维持一个计数器,每产生一个数据报,计数器就加 1,并将此值赋给标识字段。但这个“标识”并不是序号,因为 IP 是无连接服务,数据报不存在按序接收的问题。当数据报由于长度超过网络的 MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。(6)标志(flag)占 3 位,但目前只有 2 位有意义。标志字段中的最低位记为 MF(More Fragment)。MF=1 即表示后面“还有分片”的数据报。MF=0 表示这已是若干数据报片中的最后
11、一个。标志字段中间的一位记为 DF(Dont Fragment),意思是“不能分片”。只有当 DF=0 时才允许分片。(7)片偏移 占 13 位。片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也就是说,相对用户数据字段的起点,该片从何处开始。片偏移以 8个字节为偏移单位。这就是说,每个分片的长度一定是 8 字节(64 位)的整数倍。(8)生存时间 占 8 位,生存时间字段常用的的英文缩写是 TTL(Time To Live),表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。最初的设计是以秒作为
12、TTL 的单位。每经过一个路由器时,就把 TTL 减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于 1 秒,就把 TTL值减 1。当 TTL 值为 0 时,就丢弃这个数据报。(9)协议 占 8 位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的 IP 层知道应将数据部分上交给哪个处理过程。(10)首部检验和 占 16 位。这个字段只检验数据报的首部,但不包括数据部分。这是因为数据报每经过一个路由器,路由器都要重新计算一下首部检验和(一些字段,如生存时间、标志、片偏移等都可能发生变化)。不检验数据部分可减少计算的工作量。(11)源地址 占 32 位。(12)目的
13、地址 占 32 位。IP数据报可选部分字段含义:IP 首部的可变部分就是一个可选字段。选项字段用来支持排错、测量以及安全等措施,内容很丰富。此字段的长度可变,从 1 个字节到 40 个字节不等,取决于所选择的项目。某些选项项目只需要 1 个字节,它只包括 1 个字节的选项代码。但还有些选项需要多个字节,这些选项一个个拼接起来,中间不需要有分隔符,最后用全 0 的填充字段补齐成为 4 字节的整数倍。2.2 ARP 协议 (一)ARP 协议简介:ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的
14、MAC 地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC 地址。ARP 是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC 地址的过程。ARP 协议的基本功能就是通过目标设备的IP 地址,查询目标设备的MAC地址,以保证通信的顺利进行。硬件类型,ar_hrd(ARPHRD_ETHER)协议类型,ar_pro(ETHERTYPE_IP)硬件地址长度,ar_hln(6)协议地址长度,ar_pln(4)ether_dhost ether_ahost ether_type ar_op arp_sha arp_spa arp_t
15、ha arp_tpa 以太网目的地址 以太网源地址 帧类型 OP 发送者硬件地址 发 送 者IP地址 目标硬件 目标IP地址 6 bytes 6 2 2 2 1 1 2 6 4 6 4 以太网首部 ARP 首部 ether_header()arphdr()以太网 ARP 字段 ther_arp()图 2-3 ARP 请求回答格式 (二)ARP 协议的利用和相关原理介绍:一、交换网络的嗅探 ARP 协议并不只在发送了 ARP 请求才接收 ARP 应答。当计算机接收到 ARP 应答数据包的时候,就会对本地的 ARP 缓存进行更新,将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。因此,在上
16、面的假设网络中,B 向 A 发送一个自己伪造的 ARP 应答,而这个应答中的数据为发送方 IP 地址是 192.168.10.3(C 的 IP 地址),MAC 地址是DD-DD-DD-DD-DD-DD(C 的 MAC 地址本来应该是 CC-CC-CC-CC-CC-CC,这里被伪造了)。当 A 接收到 B 伪造的 ARP 应答,就会更新本地的 ARP 缓存,将本地的 IP-MAC 对应表更换为接收到的数据格式,由于这一切都是A 的系统内核自动完成的,A 可不知道被伪造了。ARP 欺骗的主要用途就是进行在交换网络中的嗅探。有关交换网络的嗅探不是本文的讨论内容。二、IP 地址冲突 在网络连接的时候,
17、如果网络中存在相同 IP 地址的主机的时候,就会报告出 IP 地址冲突的警告。假设某主机 B 规定 IP 地址为 192.168.0.1,如果它处于开机状态,那么其他机器 A更 改 IP 地址为 192.168.0.1 就会造成 IP 地址冲突。其原理就是:主机 A 在连接网络(或更改 IP 地址)的时候就会向网络发送 ARP 包广播自己的 IP 地址,也就是 freearp。如果网络中存在相同 IP 地址的主机 B,那么 B 就会通过 ARP 来 reply 该地址,当 A 接收到这个 reply 后,A 就会跳出 IP 地址冲突的警告,当然 B 也会有警告。因此用 ARP 欺骗可以来伪造这
18、个 ARPreply,从而使目标一直遭受 IP 地址冲突警告的困扰。三、阻止目标的数据包通过网关 在一个局域网内通过网关上网,那么连接外部的计算机上的 ARP 缓存中就存在网关IP-MAC 对应记录。如果,该记录被更改,那么该计算机向外发送的数据包总是发送到了错误的网关硬件地址上,这样,该计算机就不能够上网了。这里也主要是通过 ARP 欺骗进行的。以下两种办法达到这样的目的:1、向目标发送伪造的 ARP 应答数据包,其中发送方的 IP 地址为网关的地址,而 MAC地址则为一个伪造的地址。当目标接收到该 ARP 包,那么就更新自身的 ARP 缓存。如果该欺骗一直持续下去,那么目标的网关缓存一直是
19、一个被伪造的错误记录。当然,如果有些了解的人查看 ARP-a,就知道问题所在了。2、欺骗网关。向网关发送伪造的 ARP 应答数据包,其中发送方的 IP 地址为目标的IP 地址,而 MAC 地址则为一个伪造的地址。这样,网关上的目标 ARP 记录就是一个错误的,网关发送给目标的数据报都是使用了错误的 MAC 地址。这种情况下,目标能够发送数据到网关,却不能接收到网关的任何数据。同时,目标自己查看 ARP-a 却看不出任何问题来。四、通过 ARP 检测混杂模式节点 在混杂模式中,网卡进行包过滤不同于普通模式。本来在普通模式下,只有本地地址的数据包或者广播(多播等)才会被网卡提交给系统核心,否则的话
20、,这些数据包就直接被网卡抛弃。现在,混合模式让所有经过的数据包都传递给系统核心,然后被sniffer 等程序利用。通过特殊设计的 ARP 请求可以用来在一定程度上检测处于混杂模式的节点,比如对网络中的每个节点都发送 MAC 地址为 FF-FF-FF-FF-FF-FE 的 ARP 请求。对于网卡来说这不是一个广播地址(FF-FF-FF-FF-FF-FF),所以处于普通模式的节点就会直接抛弃该数据包,但是多数操作系统核心都认为这是一个广播地址,如果有一般的 sniffer 程序存在,并设置网卡为混杂模式,那么系统核心就会作出应答,这样就可以判断这些节点是否存在嗅探器了。可以查看,很多基于 ARP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 Wireshark 网络 数据包 内容 解析
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。